JP6234804B2 - 通信中継装置 - Google Patents

通信中継装置 Download PDF

Info

Publication number
JP6234804B2
JP6234804B2 JP2013262480A JP2013262480A JP6234804B2 JP 6234804 B2 JP6234804 B2 JP 6234804B2 JP 2013262480 A JP2013262480 A JP 2013262480A JP 2013262480 A JP2013262480 A JP 2013262480A JP 6234804 B2 JP6234804 B2 JP 6234804B2
Authority
JP
Japan
Prior art keywords
communication
feature value
relay
unit
condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013262480A
Other languages
English (en)
Other versions
JP2015119386A (ja
Inventor
遠藤 浩通
浩通 遠藤
山田 勉
山田  勉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2013262480A priority Critical patent/JP6234804B2/ja
Publication of JP2015119386A publication Critical patent/JP2015119386A/ja
Application granted granted Critical
Publication of JP6234804B2 publication Critical patent/JP6234804B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、通信中継装置に関する。
プラント等の設備を制御する制御システムにおいて安全かつ安定な動作を維持する必要がある。一方、制御装置に対し、その動作を阻害したり演算能力を浪費させたりする意図で、制御システムネットワークを介して不正な内容、順序、あるいは量のデータが送られる場合がある。
不正な通信パケットを遮断する能力を具備したファイアウォールやIntrusion Protection System(IPS)等の通信中継装置を介して防御対象の装置を制御システムネットワークに接続する手法が知られている。特許文献1には、送信装置が送信する複数のパケットを受信し、格納し、複数のパケットから組立てたデータから抽出したデータ情報に基づいて、複数のパケットを受信装置に対して送信するかどうかを判断する中継装置が記載されている。
特開2006−148505号公報
リアルタイム制御を行う制御システムの制御システムネットワークは、制御対象設備から取得した状態値や、制御対象設備へ出力する指令値、制御装置同士が協調して動作するために共有される状態値などのデータを扱う。制御対象設備を適切に制御するためには、制御システムネットワーク上の通信は可能な限り低遅延であることが求められる。
特許文献1には、通信データのパケットを中継装置内に格納することが開示されている。この場合、パケットの中継時にメモリ等への書き込みと読み出しという少なくとも2回のメモリ操作が必要であり、中継による遅延を増大させる要因となる。メモリ素子やバスの高速化により遅延を短縮できる可能性はあるが、中継装置の大型化や消費電力の増加を招く。このような高速化は、多くの制御対象設備において制御装置の設置場所が限られていることや、制御装置の信頼性確保のために発熱量が管理されている点を考慮すると、好ましくない。
上記課題を解決するために、本発明の一態様である通信中継装置は、第一通信装置により送信される通信フレーム内の複数の要素を順に受信し、通信フレームの受信タイミングを検出する受信部と、受信タイミングに基づいて、通信フレームの特徴を示す特徴値を決定し、特徴値が条件を満たすか否かを判定する判定部と、受信される複数の要素を順に伝達し、特徴値が条件を満たさないと判定された場合、伝達される複数の要素の一部を変更する変更部と、伝達される複数の要素を順に第二通信装置へ送信する送信部と、を備える。
本発明の一態様によれば、通信フレームの中継による遅延を抑えると共に、不正な通信フレームを中継する場合、中継先に通信フレームを排除させることができる。
本発明の実施例1の制御システムの構成を示す。 実施例1の通信中継装置の構成を示す。 通信フレームのフォーマットを示す。 データ抽出バッファの構成を示す。 ルール判定部の構成を示す。 特徴値抽出ルール定義部および通過条件定義部の構成を示す。 中継有効判定部の構成を示す。 置換バッファの構成を示す。 置換バッファの動作を示すタイムチャートである。 通信中継装置から第二通信装置への送信動作を模式的に示す。 実施例1の変形例の通信中継装置の構成を示す。 実施例2の通信中継装置の構成を示す。 実施例2の変形例の通信中継装置の構成を示す。
以下、図面を用いて本発明の実施例を説明する。
本実施例では、プラントの制御システムに適用される通信中継装置について説明する。
<制御システム>
制御システムの構成について説明する。
図1は、本発明の実施例1の制御システムの構成を示す。この制御システムは、制御対象設備410と、制御装置420と、通信中継装置10と、監視制御サーバ430と、HMI装置510と、生産管理サーバ520と、端末装置610と、ファイアウォール620とを含む。制御対象設備410は、制御装置420に接続されている。制御装置420は更に、通信中継装置10および制御システムネットワーク20を介して、監視制御サーバ430に接続されている。監視制御サーバ430は更に、制御系情報ネットワーク500を介して、HMI装置510および生産管理サーバ520に接続されている。生産管理サーバ520は更に、情報系ネットワーク600を介して、端末装置610およびファイアウォール620に接続されている。ファイアウォール620は更に、インターネットなどの外部ネットワーク700に接続されている。
ファイアウォール620は、情報系ネットワーク600と外部ネットワーク700との間の通信を中継すると共に、外部ネットワーク700から情報系ネットワーク600への不正アクセスを防ぐ。生産管理サーバ520は、プラントの生産目標や生産個数指示などの計画値を決定し、計画値を監視制御サーバ430へ送信する。端末装置610は、情報系ネットワーク600を介して生産管理サーバ520にアクセスすることにより、生産管理サーバ520へ計画値に関する情報を入力し、生産管理サーバ520から出力される実績などの情報を表示する。これにより、端末装置610の管理者は、制御システムの実績を監視することができる。監視制御サーバ430は、生産管理サーバ520から受信した計画値に基づいて、制御対象設備410の指令値を決定し、制御システムネットワーク20および通信中継装置10を介して、制御装置420へ指令値を送信する。HMI装置510は、制御系情報ネットワーク500を介して監視制御サーバ430にアクセスすることにより、監視制御サーバ430へ指令値に関する情報を入力し、監視制御サーバ430から出力される状態などの情報を表示する。これにより、HMI装置510の管理者は、制御対象設備410の状態を監視することができる。制御装置420は、監視制御サーバ430から受信した指令値に基づいて、制御対象設備410を制御する。制御対象設備410は、スイッチ、バルブ、センサなどである。指令値は例えば、スイッチやバルブの開閉などである。状態は例えば、センサにより計測される圧力、温度、回転数などである。
<通信中継装置>
図2は、実施例1の通信中継装置10の構成を示す。通信中継装置10は、制御システムネットワーク20を介して第一通信装置25に接続されている上流通信ポート11と、保護対象の第二通信装置30に接続されている下流通信ポート12とを具備する。通信中継装置10は下流通信ポート12を複数具備し、複数の第二通信装置30をそれぞれ接続できるようにしてもよい。第一通信装置25は例えば、監視制御サーバ43である。第二通信装置30は例えば、制御装置420である。
通信中継装置10は更に、受信回路100と、データ抽出バッファ110と、データ引き出し線120と、置換バッファ130と、送信回路140と、ルール判定部200と、判定制御部230と、特徴値抽出ルール定義部240と、通過条件定義部250と、中継有効判定部260と、ルール設定インタフェース21とを含む。
受信回路100は、制御システムネットワーク20および上流通信ポート11を介して接続された第一通信装置25から中継すべき通信フレーム(パケット)を示す信号を受信し、受信した信号を中継データ列に変換して順次出力する。中継データ列は、連続する複数の要素を含む。要素は例えばビットである。本実施例において、制御システムネットワーク20上の通信フレームや受信回路100から出力される中継データ列はIEEE802.3形式に基づいているが、これらは他の任意の通信規格に基づくものであってもよい。制御システムネットワーク20の伝送媒体は、電気に加えて光、電波、あるいはそれらの任意の組み合わせであってもよい。上流通信ポート11および受信回路100は、Network Interface Card(NIC)であっても良い。
図3は、通信フレームのフォーマットを示す。IEEE802.3に従う通信フレームは、プリアンブル部と、ヘッダ部と、ペイロード部と、FCS部のフィールド(領域)を含む。プリアンブル部の末尾はStart Frame Delimiter(SFD)であり、ヘッダの開始を示す。受信回路100は、受信した信号からSFDを検出したとき、受信タイミングを示すフレーム開始信号101を出力する。本信号は、後述する通過条件の判定を実行するタイミングの基準となる。ヘッダ部は、宛先アドレス、発信元アドレス、タイプ/長さを含む。FCS部は、IEEE802.3フレームに伝送誤りがあるかどうかを受信端にて検査するための誤り検査符号である。FCS部は、各通信フレームのヘッダ部とペイロード部の内容からCyclic Redundancy Check(CRC)演算により算出される32ビットの値である。受信回路100は、通信フレームからSFDを検出することによりヘッダの開始タイミングを認識する。判定制御部230は、タイプ/長さを検出することにより、ペイロードの長さを認識し、FCS部のタイミングを認識する。
データ抽出バッファ110は、受信回路100が出力した中継データ列を送信回路140へ順次転送するとともに、中継データ列のうち、データ抽出バッファ110の内部を通過中の部分データ列を取得し、複数のデータ引き出し線120から出力する機能を具備する。
図4は、データ抽出バッファ110の構成を示す。この図に示すように、データ抽出バッファ110は、例えばシフトレジスタで構成されることができる。複数のデータ引き出し線120のそれぞれは、シフトレジスタの各段の出力から分岐してデータを出力する。シフトレジスタは、入力端から連続して入力されるビットを格納し、駆動クロック信号に従ってビットを出力端へシフトさせ、入力された順に出力端から置換バッファ130へ出力する。これにより、中継データ列内の各ビットは、通信中継装置10で受信されてから一定時間で送信される。データ抽出バッファ110は、このほかデュアルポートメモリやリングバッファなどの技術を用いて構成されてもよい。
なお、データ抽出バッファ110の長さは任意である。バッファを長くすると、中継データ列からより長い部分データを取得でき、後述する特徴値抽出ルールを簡素に記述できるが、中継データ列がデータ抽出バッファ110を通過することによる遅延時間が増大する。そのため、データ抽出バッファ110の長さは、特徴値抽出ルールの複雑さと、中継が達成すべき遅延時間との兼ね合いで決定されることが望ましい。
受信回路100、データ抽出バッファ110、置換バッファ130、送信回路140は、受信したデータを一定時間で中継するために、制御システムネットワーク20の伝送速度に同期した周波数、例えば100Mbpsのネットワークであれば100MHzの駆動クロック信号で駆動される。但し、回路構成により、駆動クロック信号は伝送速度の整数倍や整数分の1の周波数などを有していてもよい。
<ルール判定部>
次に、中継データ列の中継が有効か無効かを判定する動作について説明する。
判定制御部230は、通信フレームが受信されるごとに受信回路100により出力されるフレーム開始信号101によって起動され、ルール判定部200による判定を実行するためのタイミング制御を実行する。
具体的には、フレーム開始信号101による起動後、判定制御部230は、データ抽出バッファ110より順次出力される中継データ列に対して適用可能な特徴値抽出ルールと通過条件を、特徴値抽出ルール定義部240と通過条件定義部250からそれぞれ検索する。検索の結果、適用可能な特徴値抽出ルールと通過条件があれば、判定制御部230は、特徴値抽出部210と条件判定部220にそれぞれ設定して通過条件の判定を実行する。適用可能な特徴値抽出ルールと通過条件の組が複数存在する場合、判定制御部230は、一つの中継データ列に対してそれらをすべて適用する。
図5は、ルール判定部200の構成を示す。ルール判定部200は、特徴値抽出部210と条件判定部220とを含む。特徴値抽出部210は、データ抽出バッファ110より中継データ列の部分データを取得し、特徴値抽出ルールに従って部分データから特定の要素を抽出し、特徴値として出力する。ルール判定部200は、複数のデータ引き出し線120から入力された部分データ列にマスクパターン211をそれぞれ乗じ、その結果を出力レジスタ212にラッチすることで所望のビット列を特徴値として抽出する。
特徴値抽出ルールは、中継データ列の先頭であるフレーム開始信号101から数えた抽出開始ビット位置と、抽出するビット長である。判定制御部230は、フレーム開始信号101および特徴値抽出ルールに基づいて、出力レジスタ212をラッチするイネーブル信号213の出力タイミングと、データ抽出バッファ110内の抽出するビット位置を示すマスクパターン211とを決定する。例えば、IEEE802.3フレームの宛先アドレスを特徴値として抽出する場合は、抽出開始ビット位置として0、抽出するビット長として48を、特徴値抽出ルールとして与えればよい。
条件判定部220は、特徴値抽出部210が抽出した特徴値を受け取り、特徴値を通過条件と比較し、比較結果を合否信号として出力する。通過条件は、特徴値と比較するために予め定められた判定値と、両者の間の関係演算子(等しい、等しくない、大きい、小さいなど)の組により定義される。例えば、特徴値がペイロード部のオクテット長であり、特徴値が1000バイト以下であることを通過条件とする場合、通過条件を構成する判定値には1000、関係演算子には「<=」を与える。
通信中継装置10の管理者は、通過可否判定の対象とする通信フレームの形式に基づいて、特徴値抽出ルールおよび通過条件を特徴値抽出ルール定義部240および通過条件定義部250にそれぞれ設定しても良いし、外部のコンピュータのツールを用いて特徴値抽出ルールおよび通過条件を生成し、そのコンピュータからルール設定インタフェース21を介して特徴値抽出ルール定義部240と通過条件定義部250に設定しても良い。特徴値抽出ルール定義部240と通過条件定義部250は、例えばレジスタ、SRAM、DRAMなどの記憶素子によって構成することができる。
なお、中継データ列の通過条件が複数の下位条件から構成されるなど、通過条件が複雑である場合や、通過可否判定の所要時間を短縮する必要がある場合などにおいては、複数のルール判定部200が通信中継装置10に設けられ、複数の通過条件を並列に評価できるようにしてもよい。この場合、中継データ列の複数の通過条件のすべてを満たす場合に、当該中継データ列は正常と判定される。
図6は、特徴値抽出ルール定義部240および通過条件定義部250の構成を示す。特徴値抽出ルール定義部240と通過条件定義部250は、特徴値抽出ルールと通過条件をそれぞれ複数格納することができる。特徴値抽出ルールと通過条件の格納形式はこの図のようなテーブル形式のほか、データベース形式など任意に選択されてもよい。また、特徴値抽出ルール定義部240と通過条件定義部250は、特徴値抽出ルールと通過条件以外の通信中継装置10の管理のための情報を適宜格納してよい。さらに、中継データ列から抽出された特徴値と通過条件との整合性を保つために、特徴値抽出ルール定義部240内の特徴値抽出ルールと、通過条件定義部250内で対応する通過条件とに、同一のアドレス241を付与する。この図において、アドレス0001の通過条件は、宛先アドレスが条件値と等しいことである。アドレス0002の通過条件は、発信先アドレスが条件値と異なることである。アドレス0003の通過条件は、タイプ/長さが条件値以下であることである。
図7は、中継有効判定部260の構成を示す。中継有効判定部260は、条件判定部220から出力される条件合否信号を受け、データ抽出バッファ110内を通過中の中継データ列の有効/無効を判定する。一つの中継データ列に対して、条件判定部220が複数回の通過条件の判定を実行した場合や、ルール判定部200が複数存在する場合において、中継データ列が有効であると判定されるためには、条件判定部220から出力される全ての条件合否信号が条件合致を示す必要がある。例えば、中継有効判定部260は、条件合否信号を連続して受信したときのみ発火状態となるステートマシン261及び複数の条件合否信号の論理積回路262を組み合わせることで実現可能である。
<中継データ列の無効化>
次に、中継有効判定部260において、中継データ列が通過条件を満たさなかった場合の動作について説明する。
中継有効判定部260により、条件判定部220から出力される条件合否信号の何れかが条件合致を示さないと判定された場合、無効FCS生成部263は、中継データ列の末尾に配置されているFrame Check Sequence(FCS)部の値と異なるFCS値を、無効FCS値として生成し、置換データ信号132に出力する。さらに、無効FCS置換指令部264は、中継データ列のFCS部が置換バッファ130を通過する期間において、イネーブル信号131をアクティブとすることで、無効FCS値を中継データ列のFCS部に上書きする。無効FCS値は、例えば0である。
図8は、置換バッファ130の構成を示す。置換バッファ130は、データ抽出バッファ110から出力される中継データ列を送信回路140へ伝達すると共に、中継有効判定部260からの指示に応じて、伝達する中継データ列の一部の要素を、指示された値に書き換える。イネーブル信号131及び置換データ信号132は、中継有効判定部260より置換バッファ130へ与えられる。図9は、置換バッファ130の動作を示すタイムチャートである。この図に示されているように、置換バッファ130は、イネーブル信号131がアクティブである間、中継データ列のうち置換バッファ130を通過中の部分Dを、置換データ信号132で与えられるビットパターンRに置き換える。
送信回路140は、置換バッファ130から入力された中継データ列を所定の通信信号に変換し、下流通信ポート12を介して第二通信装置30へ送信する。本実施例では、受信回路100と同様に、データ列、通信信号ともIEEE802.3フレーム形式に基づくとするが、任意の通信規格及び伝送媒体を用いてよい。送信回路140および下流通信ポート12は、Network Interface Card(NIC)であっても良い。
図10は、通信中継装置10から第二通信装置30への送信動作を模式的に示す。中継有効判定部260の動作により、通過条件を満たさなかった中継データ列は、置換バッファ130によりFCS部内の有効FCS値がFCSとして取り得ない無効FCS値に書き換えられ、送信回路140より通信フレームとして出力される。第二通信装置30に備えられた受信回路310は、通信中継装置10から当該通信フレームを受信し、当該通信フレームのヘッダ部およびペイロード部からFCSを算出し、算出されたFCSと受信されたFCSとを比較し、一致しなければ当該通信フレームを無効フレームと判定して廃棄する。これにより、第二通信装置30は当該通信フレームに含まれるデータを処理しない。第二通信装置30が制御装置420である場合、制御装置420の制御機能には当該通信フレームに含まれるデータが到達しない。したがって、当該データが制御装置420にとって有害なものであった場合でも、制御装置420の制御能力を損なうことを防止できる。
通信フレームにおいて、置換バッファ130による書き換え対象は、ペイロード部内の特定の領域のデータ等、FCS部以外の部分であっても良い。なお、通信フレームの形式がIEEE802.3以外である場合も、当該通信フレームの誤り検出用符号や、当該通信フレームの形式上特定の値が設定されることを期待されているフィールドなどを、置換バッファ130による書き換え対象とすることで、FCSと同様の効果が期待できる。通信フレームにおいて、書き換え対象のビット列は、特徴値に対応するビット列より後に位置することが好ましい。これにより、特徴値に対応するビット列がデータ抽出バッファ110を通過した後に、書き換え対象のビット列を書き換えることができる。なお、無効FCS生成部263が所定の加算値を出力し、置換バッファ130がFCS部にその加算値を加えても良い。
ファイアウォール620のように情報系ネットワークの中継装置は、通信フレームの遅延時間を示すレイテンシに比べて、単位時間当たりの伝送量を示すスループットが重視されており、中継による遅延時間を一定に保つことが困難である。ストアアンドフォワード方式を用いる中継装置は、通信フレームのすべてを受信して格納し、通信フレームを通過させるか廃棄するかを判定し、通過させると判定された通信フレームのみを送信する。即ち、この中継装置は、判定が完了するまで、通信フレームの送信を開始しない。したがって、通信フレームの長さなどによって中継の遅延時間は変動する。
一方、本実施例の通信中継装置10は、通信フレームの各ビットを受信し、データ抽出バッファ110を通過させ、通過中の部分データにより通信フレームが正常か否かを判定し、異常であれば通信フレームの一部のビットを書き換え、受信した順に各ビットを送信する。即ち、通信中継装置10は、連続して受信する複数の通信フレームを、通信フレームの長さや通信フレームの判定結果に関わらず、一定の遅延時間で第二通信装置30へ中継する。制御システムにおいては、短い周期で通信フレームが送信されるため、中継の遅延時間が一定であることが好ましい。
更に通信フレームがデータ抽出バッファ110を通過する間に特徴値を算出し、所定の通過条件と比較することで当該通信フレームの中継の有効/無効を判定することができる。判定の結果、当該通信フレームの中継が無効と判定された場合、送信回路140により当該通信フレームの先頭の送出が開始されている場合でも、当該通信フレームの末尾のFCS部を書き換えることで、第二通信装置30にて当該通信フレームの受信を無効とすることができ、中継の遅延時間を増大させることなく通信フレームを遮断することができる。
制御システムネットワーク20においては、同じ形式や同じ長さの通信フレームが一定周期で送信されるという特徴がある。このような場合の通信フレームは、例えば、ペイロード中の固定長の値だけが変わるものや、スイッチのONまたはOFFを示すものである。このような場合、通過条件は通信フレームの受信時刻を用いても良い。
図11は、実施例1の変形例の通信中継装置10の構成を示す。通信中継装置10は更に、時刻測定部270を有し、フレーム開始信号101が出力された時刻をフレーム受信時刻として測定して記憶する。特徴値抽出部210は、連続する二つの通信フレームのフレーム受信時刻の差であるフレーム受信間隔を特徴値として算出する。この場合の通過条件は、フレーム受信間隔が所定の時間範囲内にあることである。フレーム受信間隔が所定の時間範囲内にあるとは、例えば、正常値として予め定められたフレーム受信間隔に対し、算出されたフレーム受信間隔の誤差の大きさが所定の上限以下になることである。通過条件にフレーム受信間隔を用いることにより、通信フレームが一定周期で送信される制御システムにおいて、通信中継装置10は、フレーム受信間隔が異なる通信フレームを不正な通信フレームと判定することができる。また、通信フレーム内の特定の要素を特徴値とする特徴値抽出部210と、フレーム受信間隔を特徴値とする特徴値抽出部210とを組み合わせても良い。
第二通信装置30が制御装置である場合、通信フレームの特徴値を算出して判定する機能を、制御装置に追加して、制御装置の限られた処理能力を用いて実行することは困難である。本実施例の通信中継装置10を制御装置の外部に追加することにより、制御装置を変更することなく、制御装置の負荷を増加させることなく、制御装置への攻撃を防ぐことができる。
制御装置への攻撃を意図する者は、攻撃対象の制御装置における設計上ないし実装上の不備(脆弱性)を継続的に探し、それらを悪用した新たな攻撃手法を適用してくる恐れがある。長期にわたり稼働することが求められるインフラなどの制御システムでは、その稼働期間内において、新たな攻撃手法への防御策を継続して追加できることが望ましい。制御装置420を停止させることは困難であるため、制御装置420のプログラムの改修や、パッチ(修正プログラム)の適用などは困難である。本実施例によれば、通信中継装置10に特徴値抽出ルールおよび通過条件を設定することにより、制御システムの動作を停止させることなく、新たな攻撃手法に対応することができる。
実施例1では、制御システムネットワーク20から到来する不正データから第二通信装置30を保護することを目的とした。実際には、第二通信装置30が制御システムネットワーク20以外の経路でマルウェア感染などの攻撃を受け、第二通信装置30から制御システムネットワーク20へ向けて不正データを送出するケースも存在しうる。本実施例では、実施例1と逆向きに不正データが伝播することを防止する通信中継装置について説明する。
図12は、実施例2の通信中継装置の構成を示す。本実施例の通信中継装置15は、中継部10a、10bを含む。本実施例の制御システムネットワーク20において、制御システムネットワーク20から第二通信装置30へ配送される通信フレームの経路(便宜的に「下り」という)と、逆に第二通信装置30から制御システムネットワーク20へ配送される通信フレームの経路(便宜的に「上り」という)とに、それぞれ中継部10a及び中継部10bが挿入されている。中継部10a及び中継部10bのそれぞれは、実施例1で述べた通信中継装置10と同様の構成を有する。
実施例1と同様、第一通信装置25から通信中継装置15を介して第二通信装置30へ送信される通信フレームのうち、中継部10aによりFCS部を無効FCS値に書き換えられた通信フレームは、第二通信装置30により廃棄される。同様に、第二通信装置30から通信中継装置15を介して第一通信装置25へ送信される通信フレームのうち、中継部10bによりFCS部を無効FCS値に書き換えられた通信フレームは、第一通信装置25により廃棄される。これにより、外部ネットワーク700などの外部ネットワークから制御システムネットワーク20経由で到来する脅威の侵入を防止することができると共に、第二通信装置30が制御システムネットワーク20以外の経路で脅威に侵入された際に、被害が制御システムネットワーク20経由で他の装置に波及することを防止することができる。このとき、中継部10a及び中継部10bは、それぞれが個別に特徴値抽出ルールと通過条件を持つことができるため、下り経路と上り経路で異なる通過条件を定義することができ、それぞれの経路における脅威の発生状況に応じた柔軟な対策をとることが可能となる。
なお、中継部10a内の上流通信ポート11と中継部10b内の下流通信ポート12とが一つの通信ポートであっても良く、中継部10b内の上流通信ポート11と中継部10a内の下流通信ポート12とが一つの通信ポートであっても良い。また、中継部10aと中継部10bが互いに異なる筺体に設けられていても良い。
図13は、実施例2の変形例の通信中継装置の構成を示す。この変形例は、下り経路と上り経路とで互いに異なる通過条件を適用する必要がない場合を示す。実施例2の通信中継装置15と比較すると、この変形例の通信中継装置15−2は、中継部10aに代えて中継部10a−2bを用い、中継部10bに代えて中継部10b−2bを用いる。中継部10−2a及び中継部10−2bのそれぞれは、通信中継装置10から特徴値抽出ルール定義部240と通過条件定義部250を除いたものである。通信中継装置15−2は更に、特徴値抽出ルール定義部240bと、通過条件定義部250bと、ルール設定インタフェース21bを含む。通信中継装置15−2の管理者は、ルール設定インタフェース21bを介して特徴値抽出ルールおよび通過条件を、特徴値抽出ルール定義部240bおよび通過条件定義部250bへそれぞれ設定する。特徴値抽出ルール定義部240bは、中継部10−2a及び中継部10−2bに共通の特徴値抽出ルールを与える。通過条件定義部250bは、中継部10−2a及び中継部10−2bに共通の通過条件を与える。
通信中継装置15−2によれば、下り経路と上り経路とに共通の特徴値抽出ルールおよび通過条件を用いることにより、下り経路と上り経路とに異なる特徴値抽出ルールおよび通過条件を用いる場合に比べて、通信中継装置15−2のハードウェアのコストを削減できると共に、特徴値抽出ルールおよび通過条件の設定の工数を削減できる。
本発明の一態様である通信中継装置の用語について説明する。受信部は、上流通信ポート11と受信回路100などに対応する。判定部は、判定制御部130とルール判定部200と特徴値抽出ルール定義部240と通過条件定義部250と中継有効判定部260と時刻測定部270などに対応する。変更部は、置換バッファ130などに対応する。送信部は、送信回路140と下流通信ポート12などに対応する。バッファは、データ抽出バッファ110などに対応する。記憶部は、特徴値抽出ルール定義部240と通過条件定義部250などに対応する。第一領域は、FCS部などに対応する。第二領域は、宛先アドレスを示すフィールドや、ペイロード部の長さを示すフィールドなどに対応する。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、半導体メモリや、ハードディスク等の記録装置、または、磁気や光を利用する記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
10、15、15−2:通信中継装置 11:上流通信ポート 12:下流通信ポート 20:制御システムネットワーク 21:ルール設定インタフェース 25:第一通信装置 30:第二通信装置 100:受信回路 101:フレーム開始信号 110:データ抽出バッファ 120:データ引き出し線 130:置換バッファ 140:送信回路 200:ルール判定部 210:特徴値抽出部 220:条件判定部 230:判定制御部 240:特徴値抽出ルール定義部 250:通過条件定義部 260:中継有効判定部 270:時刻測定部

Claims (7)

  1. 第一通信装置により送信される通信フレーム内の複数の要素を順に受信し、前記通信フレームの受信タイミングを検出する受信部と、
    前記受信タイミングに基づいて、前記通信フレームの特徴を示す特徴値を決定し、前記特徴値が条件を満たすか否かを判定する判定部と、
    前記受信される複数の要素を順に伝達し、前記特徴値が前記条件を満たさないと判定された場合、前記伝達される複数の要素の一部を変更する変更部と、
    前記伝達される複数の要素を順に第二通信装置へ送信する送信部と、
    を備え
    前記変更部は、前記特徴値が前記条件を満たさないと判定された場合、前記伝達される複数の要素のうち、前記通信フレームのフォーマット内の第一領域に対応する要素を変更し、
    前記受信される複数の要素を順に所定時間だけ遅延させて出力するバッファを更に備え、
    前記変更部は、前記出力される複数の要素を順に伝達し、前記特徴値が前記条件を満たさないと判定された場合、前記出力される複数の要素のうち前記第一領域に対応する要素を変更し、
    前記バッファは、シフトレジスタであり、
    前記判定部は、前記シフトレジスタに保持されているビット列の特定部分を特徴値として決定し、
    記特徴値を決定するルールと前記条件とを記憶する記憶部を更に備え、
    前記ルールは、前記通信フレームにおける前記特徴値の抽出開始ビット位置と、抽出するビット長とを含み、
    前記判定部は、前記バッファと複数のデータ引き出し線を介して接続された出力レジスタをさらに有し、
    前記判定部は、前記受信タイミングと、前記抽出開始ビット位置と、前記ビット長とに基づいて、前記出力レジスタから前記特徴値をラッチするイネーブル信号の出力タイミングを決定するとともに、前記バッファから前記出力レジスタに入力されるデータ列から抽出するビット位置を示すマスクパターンを決定し、前記バッファから前記出力レジスタに入力されるデータ列に対して前記マスクパターンを乗じ、前記出力レジスタに前記出力タイミングに従って前記イネーブル信号を出力することにより、前記特徴値を抽出する
    通信中継装置。
  2. 前記記憶部は、外部からの入力に基づいて、前記特徴値を決定する前記ルールと前記条件とを記憶する
    請求項1に記載の通信中継装置。
  3. 前記条件は、前記特徴値と比較するための判定値と、前記特徴値と前記判定値との間の関係演算子とを含む
    請求項1又は請求項2に記載の通信中継装置。
  4. 前記ルールは、前記フォーマット内の第二領域を示し、
    前記判定部は、前記受信タイミングに基づいて、前記受信される複数の要素のうち前記第二領域に対応する要素を前記特徴値として決定する、
    請求項に記載の通信中継装置。
  5. 前記フォーマットにおいて、前記第一領域は前記第二領域より後である、
    請求項に記載の通信中継装置。
  6. 前記第一領域に対応する要素は、誤り検査符号である、
    請求項に記載の通信中継装置。
  7. 前記記憶部は、複数の前記ルールと、複数の前記ルールにそれぞれ対応する複数の条件とを記憶し、
    前記判定部は、前記出力レジスタを複数備え、前記複数の出力レジスタから前記複数のルールのそれぞれに対応する複数の特徴値を抽出し、前記複数の特徴値が対応する条件をそれぞれ満たすか否かを判定し、
    前記変更部は、前記複数の特徴値の何れかが対応する条件を満たさないと判定された場合、前記伝達される複数の要素のうち前記第一領域に対応する要素を変更する、
    請求項6に記載の通信中継装置。
JP2013262480A 2013-12-19 2013-12-19 通信中継装置 Active JP6234804B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013262480A JP6234804B2 (ja) 2013-12-19 2013-12-19 通信中継装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013262480A JP6234804B2 (ja) 2013-12-19 2013-12-19 通信中継装置

Publications (2)

Publication Number Publication Date
JP2015119386A JP2015119386A (ja) 2015-06-25
JP6234804B2 true JP6234804B2 (ja) 2017-11-22

Family

ID=53531736

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013262480A Active JP6234804B2 (ja) 2013-12-19 2013-12-19 通信中継装置

Country Status (1)

Country Link
JP (1) JP6234804B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020031342A (ja) * 2018-08-23 2020-02-27 株式会社日立製作所 通信中継装置
JP2020145537A (ja) * 2019-03-05 2020-09-10 株式会社日立製作所 通信中継装置
JP7337627B2 (ja) * 2019-09-24 2023-09-04 株式会社日立製作所 通信制御装置およびシステム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000216849A (ja) * 1999-01-21 2000-08-04 Nec Eng Ltd デ―タ伝送方式
US7013482B1 (en) * 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
JP2004140618A (ja) * 2002-10-18 2004-05-13 Yokogawa Electric Corp パケットフィルタ装置および不正アクセス検知装置
JP2008131466A (ja) * 2006-11-22 2008-06-05 Mitsubishi Electric Corp パケット中継装置
JP5511707B2 (ja) * 2011-02-17 2014-06-04 日本電信電話株式会社 マルチキャスト通信システム及びマルチキャスト通信制御方法
US9461772B2 (en) * 2011-09-05 2016-10-04 Nec Communication Systems, Ltd. Communication apparatus, communication state detecting method, and communication state detecting program
JP5792654B2 (ja) * 2012-02-15 2015-10-14 株式会社日立製作所 セキュリティ監視システムおよびセキュリティ監視方法
JP5801241B2 (ja) * 2012-04-04 2015-10-28 日本電信電話株式会社 ネットワーク状態変化検出システム及びトラフィック情報保存装置及びネットワーク状態変化検出方法及びトラフィック情報保存プログラム

Also Published As

Publication number Publication date
JP2015119386A (ja) 2015-06-25

Similar Documents

Publication Publication Date Title
Morris et al. A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems
US9787556B2 (en) Apparatus, system, and method for enhanced monitoring, searching, and visualization of network data
US7890991B2 (en) Apparatus and method for providing security and monitoring in a networking architecture
US7882554B2 (en) Apparatus and method for selective mirroring
US8024799B2 (en) Apparatus and method for facilitating network security with granular traffic modifications
US7937756B2 (en) Apparatus and method for facilitating network security
KR102414860B1 (ko) 메세지를 처리하는 네트워크 프로브 및 방법
JP7148303B2 (ja) プロセス制御システムにおける暗号化されたトラフィックのためのファイアウォール
Reinbrecht et al. Side channel attack on NoC-based MPSoCs are practical: NoC Prime+ Probe attack
US10069704B2 (en) Apparatus, system, and method for enhanced monitoring and searching of devices distributed over a network
CN111444519B (zh) 保护日志数据的完整性
Charles et al. Reconfigurable network-on-chip security architecture
JP6234804B2 (ja) 通信中継装置
US11593298B2 (en) Reconfigurable network-on-chip security architecture
Olufowobi et al. Controller area network intrusion prevention system leveraging fault recovery
Irvene et al. If i knew then what i know now: On reevaluating dnp3 security using power substation traffic
US20140173102A1 (en) Apparatus, System, and Method for Enhanced Reporting and Processing of Network Data
Tippenhauer et al. Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation
EP2929472B1 (en) Apparatus, system and method for enhanced network monitoring, data reporting, and data processing
EP3092737B1 (en) Systems for enhanced monitoring, searching, and visualization of network data
Daoud et al. Efficient mitigation technique for Black Hole router attack in Network-on-Chip
WO2020039705A1 (ja) 通信中継装置
EP3092771A1 (en) Apparatus, system, and method for enhanced monitoring and interception of network data
Lino et al. A Comparative Analysis of the Impact of Cryptography in IoT LoRa Applications
Claeson et al. High-speed, low-latency, and secure networking with P4

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160330

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170530

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170620

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171017

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171025

R150 Certificate of patent or registration of utility model

Ref document number: 6234804

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150